Los ciberdelincuentes del malware Kinsing apuntan a ambientes en la nube con sistemas susceptibles al error de "Looney Tunables" en Linux, identificado como CVE-2023-4911. Este fallo de seguridad permite a un atacante local ganar privilegios de root en el sistema afectado.
Descubierto en la versión glibc 2.34 de abril de 2021, el problema de Looney Tunables, un desbordamiento de búfer en el cargador dinámico de glibc (ld.so), se hizo público en octubre de 2023. Poco después, se dispusieron públicamente exploits de prueba de concepto (PoC). En un análisis de Aqua Nautilus, una firma de seguridad en la nube, se detalla un ataque de malware Kinsing donde se usó CVE-2023-4911 para incrementar los permisos en un sistema comprometido.
Kinsing, famoso por infiltrarse en sistemas y aplicaciones basados en la nube como Kubernetes, Docker API, Redis y Jenkins, suele instalar software de criptominería. Microsoft recientemente notó que estos ataques se dirigían a clústeres de Kubernetes a través de configuraciones erróneas en contenedores PostgreSQL.
Los expertos de Aqua Nautilus observaron que el ataque inicia con la explotación de una vulnerabilidad en PHPUnit, un marco de prueba PHP, para conseguir ejecutar código. Posteriormente, se activa el fallo de Looney Tunables para escalar privilegios.
El informe de Aqua Nautilus expone: "Mediante un ataque básico pero representativo de explotación de vulnerabilidad en PHPUnit, parte de la campaña de Kinsing, hemos visto los esfuerzos directos del actor de amenazas para aprovechar la vulnerabilidad de Looney Tunables".
Te podría interesar leer: Análisis de Malware con Wazuh
El Bug "Looney Tunables" es una vulnerabilidad de seguridad descubierta en sistemas operativos basados en Linux. Identificado específicamente como CVE-2023-4911, este bug es un desbordamiento de búfer localizado en el cargador dinámico de la biblioteca glibc (ld.so). Este problema fue introducido en la versión 2.34 de glibc lanzada en abril de 2021 y se hizo público en octubre de 2023.
La naturaleza del bug implica que permite a un atacante con acceso local al sistema obtener privilegios de root, lo que significa que pueden obtener control total sobre el sistema afectado. Esto es particularmente preocupante porque el acceso de root permite realizar cualquier acción en el sistema, incluyendo la modificación de archivos del sistema, la instalación de software malicioso, y la manipulación de datos y procesos en curso.
La denominación "Looney Tunables" parece ser un nombre informal o de código, posiblemente elegido para su sonoridad y recordatorio a los "Looney Tunes", una serie de dibujos animados clásica. Sin embargo, detrás de este nombre ligero, se esconde una seria amenaza de seguridad que puede tener un impacto significativo en la integridad y seguridad de los sistemas Linux, especialmente en entornos donde se mantienen datos críticos o se ejecutan aplicaciones sensibles.
Te podría interesar leer: Nuevo Malware SprySOCKS Linux vinculado a Ciberespionaje
En una desviación de su modus operandi habitual, Kinsing realizó el último ataque de manera manual, probablemente para verificar su eficacia antes de crear scripts automatizados para la explotación.
El aprovechamiento de la vulnerabilidad en PHPUnit (CVE-2017-9841) llevó a la apertura de un shell inverso en el puerto 1337 del sistema comprometido. Los operadores de Kinsing utilizaron esto para ejecutar comandos de inspección como 'uname -a' y 'passwrd'.
Los atacantes también instalaron un script llamado 'gnu-acme.py' en el sistema, que utiliza CVE-2023-4911 para elevar privilegios.
El exploit para Looney Tunables se descargó directamente del repositorio del investigador que había publicado un PoC, probablemente como táctica para disimular sus rastros. Adicionalmente, los atacantes descargaron un script PHP que instala una puerta trasera de shell web en JavaScript ('wesobase.js'), facilitando etapas posteriores del ataque.
Esta puerta trasera permite a los atacantes ejecutar comandos, gestionar archivos, recopilar información de la red y del servidor, y realizar operaciones de cifrado y descifrado.
Finalmente, se observó un interés particular de Kinsing en las credenciales de los proveedores de servicios en la nube (CSP), enfocándose especialmente en obtener datos de identificación de instancias de AWS. Según AquaSec, esto representa un giro hacia actividades más sofisticadas y perjudiciales por parte de este actor de amenazas.
Los investigadores consideran que esta campaña fue experimental, ya que el actor de amenazas empleó tácticas novedosas y expandió su enfoque para incluir la recolección de credenciales de servicios en la nube.
Te podría interesar leer: ¿Qué es un Ataque de Exploit?
El ataque de Kinsing, combinando técnicas manuales y automáticas, ha marcado un avance significativo en las estrategias de ciberataques. Al explotar vulnerabilidades en sistemas Linux como PHPUnit (CVE-2017-9841) y el bug "Looney Tunables" (CVE-2023-4911), los atacantes demostraron una mayor sofisticación y capacidad para adaptarse. La apertura de un shell inverso y el uso de scripts para elevar privilegios subrayan esta complejidad creciente.
La implementación de una puerta trasera JavaScript y el enfoque en robar credenciales de proveedores de servicios en la nube, especialmente AWS, indica un cambio hacia objetivos más valiosos y potencialmente dañinos. Este enfoque estratégico resalta la necesidad de una vigilancia y defensa cibernética mejoradas, dada la naturaleza siempre evolutiva y cada vez más sofisticada de las amenazas de ciberseguridad.